칼럼 | '블랙베리+사일런스' 결합 이후 '합법적' 백도어를 우려한다

모바일 단말기 시장 경쟁에서 점차 밀리면서 보안 기업으로 변신한 블랙베리가 최근 머신러닝 기반 악성코드 방지 기업인 사일런스(Cylance)를 14억 달러에 인수했다. 이는 자동차, 의료기기, 필수 인프라 등의 종점 장치를 보호하겠다는 블랙베리의 공공 전략과 일맥상통하지만 해당 기업의 암호화 백도어 이력 때문에 보안 커뮤니티를 중심으로 우려의 목소리도 나온다.
 

블랙베리는 사일런스의 악성코드 방지 솔루션을 "종점(자동차, 기업, 스마트 시티 등)들 사이의 안전하고 신뢰할 수 있는 데이터 흐름을 위한 전략의 핵심"인 블랙베리 스파크 플랫폼에 통합할 계획이라고 밝혔다. 사일런스의 유명 악성코드 방지 서비스를 사물인터넷(IoT) 기기에 통합하면 IoT 보안에는 큰 도움이 될 것이다. CEO 존 첸은 이를 '합법적인 액세스'라고 불렀다. 그러나 그의 이러한 입장은 보안 커뮤니티와 불화를 일으키고 있다.

블랙베리가 단말기 제조사로 인기를 누리던 2010년경 이 기업은 소비자용 블랙베리 기기의 글로벌 복호화 키를 캐나다 연방 경찰 RCMP와 공유했다는 의심을 받았다. 이 때, 첸은 블랙베리에서 근무하지 않았지만, 수년 전 FBI가 백도어 암호화를 요구했던 애플 vs. FBI 갈등 와중에 그는 애플을 비난하는 목소리를 내며 IT 기업에 법 집행 협력을 촉구했다. 2017년 10월 첸은 한 인터뷰에서 법률 집행기관의 요청에 따라 블랙베리의 보안을 우회할 방법을 강구할 의향이 있다고 말하기도 했다. 그러나 11월 20일자의 블로그에서 그는 IT 기업이 "합리적이고 합법적인 액세스 요청을 준수해야 한다"는 입장을 다시 강조하며 "블랙베리의 제품에는 백도어가 없다"라고 말했다.
 

취약한 인터넷

법원 문서를 보면 최소한 2010년 즈음에는 캐나다 연방 경찰이 모든 소비자용 장치에 설치된 블랙베리의 범용 복호화 키의 사본을 보유하고 있었다. 그 키만 소유하고 있으면 블랙베리의 소비자용 단말기 사이에서 전송된 문자 메시지를 복호화할 수 있다. 

이에 대해 블랙베리의 최신 기업용 소프트웨어 제품에는 범용 복호화 키가 없다고 주장했다. 그러나 보안 커뮤니티는 여전히 예전의 사건을 기억하고 있고, 첸의 최근 발언으로 우려가 더 커졌다. 사일런스 인수를 발표한 11월 16일의 첸은 사일런스의 새로운 수장으로서 블랙베리의 "합법적인 액세스" 암호화 백도어를 계속 지지할 것인지에 대해 "우리는 합법적인 액세스를 지원한다. 모든 기업이 그렇게 해야 한다고 생각한다. 우리는 정부와 국민의 안전을 보호할 사회적 책임이 있다"라고 말했다.

물론 아직은 첸의 이런 입장이 사일런스의 기술에도 영향을 끼칠 것이라고 단정하기에는 이르다. 그러나 사용자의 동의 없이 암호화된 정보에 대한 액세스를 제공하면 모두의 보안을 약화한다. 전문가들은 이런 '황금 열쇠'가 만들어지면 사법기관은 물론 국가가 후원하는 해커, 혹은 철저한 악당의 손에 들어갈 위험이 높다고 지적한다.

이렇게 되면 사일런스가 지원하는 IoT 장치를 사용하는 시스템은 처참한 결과를 낳을 수 있다. 사일런스가 자사의 악성코드 감지 솔루션에 백도어를 넣었다거나 정부 악성코드를 화이트리스트 처리했다는 명백한 증거는 없다. 하지만 현재 존 첸이 사일런스를 통제하고 있다는 점에서 보안 커뮤니티가 우려하고 있다.

프랑스의 국가 컴퓨터 공학 및 자동화 연구 연구소 INRIA와 MIT의 보안 연구원 해리 할핀은 "어떤 유형의 악성코드라도 화이트리스트 처리하는 사람은 정부와 국민을 포함해 모두의 필수 인프라를 약화할 위험이 있다. 그 어떤 악성코드도 화이트리스트 처리해서는 안 된다. 블랙베리의 이전 행보를 보면 사일런스 인수로 우려가 나오는 것이 사실이다"라고 말했다.
 

'합법적인 액세스'의 문제

의도적으로 생성한 취약성은 사법기관을 위해 만들었다고 해도 해킹의 위험에 노출된다. 백도어화된 암호화는 IoT 부문에서 훨씬 심각한 결과를 낳는다. 컨시너티 리스크(Concinnity Risks)의 설립자 에이리언 레베렛은 "암호화 키가 자동차, 심장 장치, 기차, 스마트 계량기 등을 보호하는 세상에서 이런 키를 잃어버리면 심각한 결과가 발생한다. 우리의 안전은 말 그대로 이런 키에 달려 있다"라고 말했다.

특히 누군가 암호화 백도어의 사본을 훔쳤는지 여부를 알기 어려운 데다 하드 코딩된 백도어를 업데이트하기 어렵기 때문에 '합법적인 액세스'는 위험하다. 레베렛은 "은행 계정이 해킹되면 비밀번호를 재설정할 수 있다. 그러나 이런 하드코딩된 백도어는 재설정이 불가능하다"라고 말했다.

백도어는 장치에 물리적으로 연결할 필요가 없다. 사용자의 동의 없이 암호화된 정보에 대한 액세스를 제공하는 아무 방법이나 사용할 수 있다. 워싱턴에 있는 아틀란틱 카운실(Atlantic Council)의 CSIF(Cyber Safety Innovation Fellow) 뷰 우즈는 "백도어는 원격으로 액세스할 수 있는 안전에 필수적인 시스템 안에 존재할 때 치안 문제가 될 수 있다. 기술적 역량은 정책을 가리지 않으며 법에 따라 허용되고 금지된 것을 구분할 수 없다"라고 말했다.
   

머신러닝의 백도어

사일런스가 개발한 유형의 머신러닝 기술의 백도어는 블랙베리가 소비자용 단말기에 배치했던 암호화 백도어와는 매우 다르게 보일 것이다. 이미 일부 연구팀은 머신러닝이 백도어화될 수 있다는 점과 이런 백도어가 어떻게 작동하는지 시연하기도 했다.

뉴욕대학교(NYU)의 컴퓨터 공학 및 엔지니어링 부서 조교수 브렌든 돌란 개빗은 "(블랙베리가) 우리가 지난 해 제안한 스타일의 머신러닝 전용 백도어를 추가해 자체적인 국가 후원 악성코드를 무시하도록 할 수 있다. 딥러닝 시스템 같은 것을 훈련할 때는 특정 트리거를 인식한 후 이런 트리거를 가진 모든 것을 잘못 분류하도록 훈련할 수 있다. 우리가 직접 악성코드 방지 시스템을 구체적으로 살펴본 것은 아니지만 가능하리라 생각된다"라고 말했다.

FBI는 법률 집행기관의 업무 용이성을 위해 20년 동안 기술 기업에 백도어를 만들도록 요구했다. 블랙베리에 용의자의 IoT 장치에 대한 엑세스를 획득하기 위해 법률 집행기관 악성코드를 화이트리스트 처리하도록 요청하면 그 사람에 대한 엄청난 양의 사적 정보가 제공되게 된다. 하지만 이런 종류의 "도청"은 단순한 도청의 수준을 넘어 악당이 데이터 무결성과 가용성에 대한 공격도 가능하게 된다.

현재 단계에서 블랙베리/사일런스 제품의 백도어가 등장할 것이라고 단언할 수는 없다. 블랙베리의 최신 제품에는 백도어가 없다는 첸의 주장을 뒤집을 증거가 나온 것도 아니다. 그러나 IoT의 민감한 속성을 고려할 때 '합법적인 액세스'에 대한 첸의 발언은 백도어에 대한 의구심이 들기에 충분하다. ciokr@idg.co.kr